Mise à jour le 24 juin, 2022 par Metaverse
Le « logiciel espion » a été utilisé, au moins, contre des citoyens italiens et kazakhs. Selon Google et la société de sécurité Lookout, il peut être utilisé pour attaquer les terminaux iOS et Android.
Pegasus n’est pas le seul code espion disponible pour les gouvernements. Google a signalé à travers un article de blog la découverte d’un nouveau ‘ spyware ‘ (virus espion) qui a des fonctionnalités similaires à celles de l’outil israélien et qui à ce jour a été utilisé, au moins, pour ‘pirater’ les terminaux des citoyens d’Italie et Kazakhstan. Selon l’entreprise technologique, le virus, signalé il y a quelques jours par la société de sécurité Lookout et qui s’appelle Hermit, affecte aussi bien les appareils iOS qu’Android.
Comme avec de nombreux logiciels espions, Hermit est capable de collecter les journaux d’appels, d’enregistrer l’audio ambiant, de rediriger les appels téléphoniques et de collecter des photos, des messages, des e-mails et l’emplacement précis de l’appareil infecté.
Le code, selon Google, a été développé par la société de sécurité italienne RCS Lab, opérant depuis 1993 et basée à Milan. Comme pour NSO Group , le développeur et propriétaire de Pegasus, l’Italien soutient que ses solutions ne sont accessibles qu’aux forces et corps de sécurité.
“Nous fournissons les meilleures solutions pour tout problème d’interception, en maintenant notre position de leader technologique dans les systèmes de suivi des enquêtes, l’interception de la voix et des données”, indique la société sur son site Web.
S’adressant à ‘ Reuters ‘, RCS Lab soutient que tous ses outils sont conformes aux normes européennes et aident les forces de l’ordre à enquêter sur les crimes. Google note cependant dans son étude que “ces fournisseurs permettent la prolifération d’outils de piratage dangereux et arment les gouvernements qui ne pourraient pas développer ces capacités en interne”.
Donc ça infecte
Comme dans de nombreux autres cas, l’outil de piratage développé par RCS Lab atteint le terminal de l’utilisateur en envoyant un lien SMS qui l’invite à télécharger une application malveillante. “Dans certains cas, nous pensons que (les acteurs gouvernementaux contrôlant le virus) ont travaillé avec le FAI (fournisseur d’accès Internet) de la cible pour désactiver la connectivité des données mobiles de la cible”, notent-ils de Google.
“Il est très frappant que, dans ce cas, le fournisseur d’accès Internet soit disposé à permettre à ses utilisateurs d’être piratés et de participer à l’infection”, explique Josep Albors, responsable de la recherche et de la sensibilisation de la société de cybersécurité, à ABC ESET.
Précisément, dans le message, ils lui demanderaient de “cliquer” sur le lien et de télécharger “l’application” pour récupérer la connexion Internet. Normalement, les applications dans lesquelles Hermit se cache tentent de se faire passer pour les applications officielles des entreprises de télécommunications. Justement, pour que l’arnaque soit crédible. Google souligne que, dans les cas où les acteurs gouvernementaux ne causent pas de problèmes de connexion, ils se font passer pour des plateformes telles qu’Instagram, Facebook ou WhatsApp.
Dans le cas des terminaux iOS, l’entreprise italienne trouve un moyen de forcer l’appareil à pouvoir télécharger l’« appli » sans passer par l’App Store, la boutique d’applications officielle (et exclusive) d’Apple. “Ils profitent de l’utilisation des outils Apple pour l’installation de solutions pour les entreprises qui ne sont pas présentes dans le magasin”, explique Albors.
Google informe qu’il a déjà pris des mesures pour protéger les utilisateurs de son système d’exploitation Android et les a mis en garde contre les ‘spywares’. Apple souligne, de son côté, avoir déjà révoqué tous les comptes et certificats associés à la campagne de code, selon ‘ Techcrunch ‘.
